CVE-2026-42768

Nome do Software Vulnerável e Versões Afetadas OpenSSL (versões afetadas não especificadas)

Description As funções CMS decrypt() e PKCS7 decrypt() são suscetíveis a um ataque do tipo Bleichenbacher, que é um canal lateral de texto cifrado escolhido adaptativamente. Isso permite que um invasor use uma aplicação vulnerável para descriptografar ou assinar mensagens usando a chave RSA privada da vítima. O problema ocorre em dois cenários: primeiro, quando a API de descriptografia é usada sem um certificado de destinatário, o OpenSSL itera por cada KeyTransRecipientInfo (KTRI) sem parar no primeiro sucesso; segundo, quando um certificado de destinatário é fornecido, mas o destinatário não é encontrado, uma chave aleatória é substituída. Em ambos os casos, se um invasor conseguir observar códigos de erro ou a saída da descriptografia, ele poderá estabelecer um oráculo para descriptografar textos cifrados RSA ou forjar assinaturas PKCS#1 v1.5.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.